Aanbevelingen EDPB voor het opslaan van persoonsgegevens in de cloud

Steeds vaker maken organisaties gebruik van externe clouddiensten om informatie op te slaan. De informatie wordt dan online opgeslagen op de server van de aanbieder van de dienst. Vaak gaat het daarbij om persoonsgegevens.

Verwerkersovereenkomst

Als met een externe partij zoals een aanbieder van clouddiensten wordt afgesproken dat die voor een organisatie persoonsgegevens verwerkt, dient daarmee een verwerkersovereenkomst te worden gesloten. Daarin worden onder meer afspraken gemaakt over geheimhouding, het melden van een datalek, het uitvoeren van audits en de beveiliging.

European Data Protection Board (EDPB)

De EDPB is een samenwerkingsverband van de verschillende Europese privacytoezichthouders, waaronder de Nederlandse Autoriteit Persoonsgegevens (AP). De EDPB publiceert regelmatig aanbevelingen en adviezen over de rechtmatige verwerking van persoonsgegevens. De EDPB heeft een lijst met aanbevelingen opgesteld, speciaal gericht op overheidsorganisaties, waarin wordt aangegeven waar rekening mee gehouden moet worden als een clouddienst wordt ingeschakeld.

Dertien aanbevelingen

Het rapport bevat dertien aanbevelingen. Onder meer over de technische en organisatorische maatregelen ter bescherming van de persoonsgegevens die genomen en gecontroleerd moeten worden. Daarover moeten specifieke afspraken worden gemaakt. De aanbieder van de clouddienst moet kunnen aantonen dat de beveiliging van de persoonsgegevens voldoet aan de eisen die daarvoor in Europa gelden. Om die reden adviseert de EDPB dat de privacyrisico’s eerst goed in beeld worden gebracht. Dat kan met een zogenoemde “gegevensbeschermingseffectbeoordeling”, ook wel een Data Protection Impact Analyse, afgekort DPIA, genoemd. Een DPIA is een systematische beschrijving van de gegevensverwerking die gaat plaatsvinden, op basis waarvan een beoordeling van de privacyrisico’s en de maatregelen om die risico’s aan te pakken, wordt gemaakt.

Het rapport bevat verder aanbevelingen over het laten verwerken van persoonsgegevens door clouddienstverleners van buiten de Europees Economische Ruimte (EER). In dat geval is het noodzakelijk om te controleren of deze clouddienst een niveau van bescherming heeft dat gelijkwaardig is aan het niveau dat binnen de EER geldt. Dan moet worden gekeken of er een besluit van de Europese Commissie is dat het betreffende land een gelijkwaardig niveau van gegevensbescherming heeft (het adequaatheidsbesluit). Ook kan worden gekozen voor een aanbieder buiten de EER die een interne gedragscode hanteert, waaruit blijkt dat de omgang met persoonsgegevens een gelijkwaardig niveau van bescherming heeft als binnen de EER. Dit zijn de zogenoemde “Binding Corporate Rules”.

Het rapport  van de EDPB is gepubliceerd en treft u hier

De Autoriteit Persoonsgegevens

De AP heeft naar aanleiding van het rapport een brief geschreven aan alle overheidsorganisaties over de inzet van clouddiensten door overheidsorganisaties. Daarin wordt onder meer aangegeven dat de opslag van persoonsgegevens in de cloud en de daar aan verbonden risico’s dienen te worden meegenomen in het inkoopproces.

De brief van de AP vindt u hier.

Wilt u meer weten over privacyrecht en de Algemene verordening gegevensbescherming (AVG) in de praktijk? Schrijf u dan in voor één van onze privacy cursussen